Windows取证集成工具,能够对Windows指定路径下现场证据以及浏览器SQLite记录进行实时监控,对注册表与监控日志进行查找,并借助chatGPT实现简单分析。
假设一位用户正在特定文件夹下进行活动,例如玩游戏、看视频小说等娱乐活动,或者撰写代码或文档、阅读论文或书籍等学习工作活动。
我们希望能够监控该目录下的文件操作,例如文件及文件夹的新建、删除、访问与修改操作,同时获取用户正在访问的网页记录以及查看的文本资料,借此分析用户当前行为并进行记录。
- 运行代码
PathInput.py。 - 输入需要监控的文件夹的路径。
- 点击”初始化“按钮并等待约3-4秒。
- 点击”监控文件变化“按钮,开始实时监测指定文件夹中文件动态。
- 点击“分析用户行为“按钮后,我们将程序运行期间监测到的文件变化及浏览器访问记录(目前包含Google Chrome和Microsoft Edge)打包,作为Request发送给
chatGPT的国内镜像站点,从其返回的Response中提取字符串并展示在UI中。 - 点击”记录当前输出“按钮,我们将读取目前UI文本框内的所有内容,并以txt的形式保存在代码目录下。
项目的代码文件结构如下:
PathInput.py: 进行”选中文件夹“步骤时所用到的UI界面。UI.py: 主要UI部分,包括“初始化”、“注册表”、“事件日志”、“监控文件变化”、“分析用户行为”、“记录当前输出”按钮,以及用以展示输出的文本框。regeditReader.py: 注册表取证工具,从注册表中读取最近打开的doc/docx、ppt/pptx等文件的名称。eventsLog.py: 事件日志取证工具。folderMonitor.py: 文件现场证据取证工具,实现对指定文件夹的文件变化检测。browserSQLiteReader.py: 实现对浏览器(支持Chrome与Edge)全部访问记录以及新增访问记录的读取。GPT.py: 构造Request发送给chatGPT的国内镜像站点,获取Response中的回复部分字符串。